AGENDA 5.1.2 (a): KEBERKESANAN PENUTUPAN AUDIT PEMANTAUAN SEMAKAN 1 OLEH SIRIM BAGI SISTEM PENGURUSAN KESELAMATAN MAKLUMAT Tuju 1. Kertas ini adalah bertuju untuk mendapat pertimbg d ketetap Mesyuarat Kaji Semula Pengurus (MKSP) Universiti Putra Malaysia (UPM) tentg lapor keberkes penutup audit pemtau semak 2 oleh SIRIM bagi Sistem Pengurus (ISMS) yg telah diadak pada tahun 2016. Latar Belakg 2. Audit Pemtau Semak Kedua Sistem Pengurus oleh SIRIM telah dilaksa pada 31 Ogos 2016 (Semasa pendaftar pelajar baharu pada Minggu Perkasa Putra) d 29 hingga 30 September 2016. Sepjg audit, seramai lima (5) org Juruaudit telah terlibat iaitu Pu Nur Aisya Mohd Zamri (Ketua Juruaudit), Cik Noridah Yahya, Pu Sazlin Alias d Cik Efiz Zamri. Skop pengaudit adalah seperti berikut: (a) Sistem Pengurus hya melibatk proses Pendaftar Pelajar Baharu Prasiswazah semasa Minggu Perkasa Putra; (b) Sistem Pengurus untuk Pengoperasi Data bagi proses Pendaftar Pelajar Baharu Prasiswazah; d (c) Sistem Pengurus untuk Pengoperasi Pemulih Benca bagi proses Pendaftar Pelajar Baharu Prasiswazah. 3. Lokasi audit/sampel tggungjawab (PTJ) yg terpilih semasa audit tersebut adalah sebagaima Jadual A. 1
Jadual A: Lokasi audit/sampel tggungjawab (PTJ) yg diaudit Tarikh 31 Ogos 2016 (Minggu Perkasa Putra Semester Pertama Sesi 2016/2017) 29-30 September 2016 Lokasi Zon pendaftar : 1. Zon 1 (Melibatk pendaftar Kolej Kedua, Kolej Tun Dr. Ismail, Kolej Cselor, Kolej Kelima, Kolej Keenam, Kolej Sult Alaeddin Suleim Shah) 2. Zon 3 (Melibatk pendaftar Kolej Mohamed Rashid, Kolej Kedua Belas, Kolej Keempat Belas, Kolej Kelima Belas, Kolej Keenam Belas) 1. Bahagi Kemasuk d Bahagi Urus Tadbir Akademik 2. Bahagi 3. Jamin Kualiti (CQA) 4. Pembgun d 5. Kesihat Universiti 6. Pejabat Penasihat Undg-Undg 7. Pejabat Bursar 8. Pejabat Strategi Korporat d 4. Hasil Audit Pemtau Semak 1, Universiti Putra Malaysia (UPM) tidak menerima lapor ketakakur (NCR), hya menerima lap (8) pelug penambahbaik (OFI). Keberkes Penutup d Pelaksa Penemu Audit 5. Lapor penemu OFI telah diedark kepada semua Peneraju yg terlibat pada 17 Oktober 2016 untuk mengambil tindak. Pemtau pelaksa tindak OFI dilaksak secara berkala melalui emel d Mesyuarat Jawatkuasa Kualiti ISO UPM. 6. Hasil pemtau tindak adalah sebagaima Lampir, makala bukti pelaksa tindak OFI ak disemak semula oleh pihak SIRIM pada Audit Pemtau Semak 2 yg ak diadak pada 6 September d 2 hingga 3 Oktober 2017. 2
Syor 7. Ahli MKSP UPM dimohon mengambil perhati status tindak pelaksa OFI yg dilapork pada audit SIRIM tahun 2016 d ak disemak semula pelaksa d keberkes tindak semasa Audit Bad Pensijil tahun 2017. 3
STATUS PELAKSANAAN TINDAKAN PELUANG PENAMBAHBAIKAN (OFI) AUDIT SIRIM SISTEM PENGURUSAN KESELAMATAN MAKLUMAT (ISMS) Lampir Tggungjawab Ringkas OFI Pelaksa Tindak Status Tindak OFI-1 6.1 Tindak untuk Mengi Risiko d Pelug Pejabat Timbal Naib Cselor (Hal Ehwal Pelajar d Alumni) Semasa pendaftar pelajar baharu, dicadg menambahbaik dari segi verifikasi dima pelajar yg mendaftar adalah pelajar yg berkena bagi mengelak risiko buk pelajar yg sebenar mendaftar Melaksak verifikasi pelajar yg mendaftar menggunak kad pengenal pelajar di kaunter semak (Kaunter 1) semasa Program Minggu Perkasa Putra Semester Petama Sesi 2016/2017 (Ambil Kedua) pada 19 September 2016 21/10/2016] OFI-2 8.1 Percg d Kawal Operasi A.8.2.2 Pelabel Kolej Kediam Fail pelajar yg ditempatk di kolej perlu dilihat kembali supaya dijaga mengikut prosedur yg sepatutnya i. Fail maklumat peribadi pelajar tidak ak digunak lagi mulai kemasuk pelajar baharu semester pertama sesi 2017/2018. ii. Pihak kolej ak menggunak Borg Pengesah Penerima d Pemulg Kunci seperti yg telah digunak semasa pendaftar Asasi Sains Perti yg telah diadak pada 01 Jun 2017 Kolej: Dalam Proses (tindak pinda dokumen belum dilaksa) 21/6/2017. Tarikh akhir pada 30/8/2017 4
Tggungjawab Ringkas OFI Pelaksa Tindak Status Tindak OFI-3 8.1 Percg d Kawal Operasi A.15.1.2 Mengi dalam Perjji Pembekal 1. Kesihat Universiti 2. Pejabat Penasihat Undg-Undg Keperlu kerahsia perlu diambil kira dalam penyedia perjji perkhidmat penyelenggara peralat i. PKU menyediak surat iring bagi setiap dokumen perjji yg melibatk data pelgg kepada pihak Pejabat Penasihat Undg- Undg sebagai maklum bagi keperlu klausa kerahsia sekirya perlu ii. PPUU menyediak Senarai Semak MOU/MOA PKU: 9/11/2016] PPUU: 4/11/2016] OFI-4 6.1.3 (a) Pemulih Risiko Pasuk Penilai Risiko - Pembgun d (idec) Salah satu risiko yg dikenalpasti semasa membuat penilai risiko melalui aplikasi MyRAM tidak selaras seperti yg dilapork dalam MKSP Semak lapor MKSP oleh TWP ISMS bagi penyedia lapor MKSP ak datg Dalam Proses [Tarikh akhir pada 30/8/2017) 5
Tggungjawab Ringkas OFI Pelaksa Tindak Status Tindak OFI-5 6.1.2 (c) Penilai Risiko 1. Pasuk Penilai Risiko - Pembgun d (idec) 2. Pejabat Bursar 3. Bahagi Penilai risiko boleh disemak semula bagi memastik semua aset yg terlibat termasuk komputer pengguna dinilai risikonya. idec: Perbincg Tindak Kemaskini Lapor MyRAM BURSAR & BKU: Mengemaskini senarai aset (komputer) yg berisiko telah di dalam sistem MyRAM. Detail Risk Assessment Report IDEC: 17/11/2016] P. BURSAR: 26/7/2017] BKU: Dalam Proses [Tarikh akhir pada 30/8/2017) OFI-6 8.1 Percg d Kawal Operasi A.12.2.1 Kawal Keatas Perisi Berbahaya (Malware) 1. Pejabat Bursar 2. Bahagi Masih terdapat beberapa komputer pengguna belum dipasg tivirus Permohon kepada idec untuk mengemaskini d install tivirus kesemua komputer P. BURSAR: 26/7/2017] BKU: Dalam Proses [Tarikh akhir pada 30/8/2017) 6
OFI-7 A.17.1.1 Pel Kesinambu ng Tggungjawab Pejabat Strategi Korporat d (CoSComm) Ringkas OFI Pelaksa Tindak Status Tindak Pel Krisis yg dibgunk boleh ditambahbaik kdungnya deng memasukk senarai staf d nombor telefon yg boleh dihubungi semasa berlaku krisis Mengemaskini Pel Krisis Versi 3.0 d mendapatk pengesah Naib Cselor COSCOMM: [Tarikh tindak 14/11/2016) OFI-8 A.17.1.3 Sah, Semak d Nilai Kesinambu ng Pejabat Strategi Korporat d (CoSComm) Pel Pemulih Benca d Lapor Penguji Simulasi (DRP ICT) telah dibgunk, walaubagaimapun Borg Lapor Pelaksa Pemulih untuk sistem aplikasi, pgkal data d rgkai tidak dicatatk masa sebenar yg diambil untuk pemulih benca Mengadak Mesyuarat Pasuk DRP ICT COSCOMM & IDEC: COSCOMM: [Tarikh tindak 21/11/2016) 7